El mayor reto al que se enfrenta la seguridad del Internet de las cosas (IC) procede de la propia arquitectura del ecosistema de IC actual, que se basa por completo en un modelo centralizado conocido como el modelo servidor/cliente. Todos los dispositivos se identifican, autentican y conectan a través de servidores en la nube que admiten enormes capacidades de procesamiento y almacenamiento. La conexión entre los dispositivos tendrá que realizarse a través de la nube, aunque se encuentren separados por unos metros. Pese a este sistema haya interconectado dispositivos informáticos durante décadas y siga sustentando actualmente las redes de IC, no podrá responder a las crecientes necesidades de los enormes ecosistemas de IC del futuro.

El modelo Blockchain

Blockchain es una base de datos que administra un conjunto de registros de datos en constante crecimiento. La naturaleza de su estructura es distribuida, es decir, no existe un ordenador central que aloje a toda la cadena, sino que los nodos involucrados cuentan con una copia de esta. Asimismo, su crecimiento es continuado: solo se añaden registros de datos a la cadena.

Cuando alguien quiere añadir una transacción a la cadena, todos los participantes de la red tendrán que validarla. Esto se lleva a cabo mediante la aplicación de un algoritmo a la transacción con el fin de comprobar su validez. Lo que se entiende exactamente por “válido” se define en el sistema Blockchain y puede diferir entre sistemas. Por tanto, una mayoría de los participantes debe llegar a un acuerdo con respecto a la validez de la transacción.

A continuación, un conjunto de transacciones aprobadas se agrupa en un bloque, que se envía a todos los nodos de la red. Estos, a su vez, validan el nuevo bloque. Cada uno de los bloques posteriores contiene un ‘hash’, que es una huella dactilar única, del bloque anterior.

Los 5 principios básicos de la tecnología Blockchain

• Base de datos distribuida: Cada parte de una cadena de bloques tiene acceso a la totalidad de la base de datos y de su historial. No hay una parte única que controle los datos o la información. Cada una de las partes puede comprobar directamente los registros de los participantes en las transacciones sin necesidad de intermediarios.

• Transmisiones entre partes: La comunicación se produce directamente entre las partes, en lugar de a través de un nodo central. Cada nodo almacena y envía información a otros nodos.

• Transparencia: Todos aquellos usuarios con acceso al sistema pueden ver las transacciones y su valor asociado. Cada nodo o usuario en una cadena de bloques dispone de una dirección alfanumérica de 30 caracteres para su identificación. Los usuarios pueden optar por permanecer en el anonimato o mostrar su identidad a los demás. Las transacciones se producen entre direcciones de cadenas de bloques.

• Registros irreversibles: Una vez que las transacciones se introducen en la base de datos y se actualizan las cuentas, los registros no se podrán modificar porque están vinculados a cada registro de transacción anterior (por ello, el término “cadena”). Se implementan varios algoritmos y enfoques para garantizar que el registro en la base de datos sea permanente, esté ordenado cronológicamente y disponible a otras personas en la red.

• Lógica computacional: La naturaleza digital del registro contable hace posible que las transacciones en cadenas de bloques puedan vincularse a una lógica computacional y, en resumen, ser programadas. De esta manera, los usuarios pueden definir algoritmos y reglas que desencadenen automáticamente transacciones entre nodos.

Blockchain pública vs privada

La implementación de la tecnología Blockchain puede ser pública o privada con claras diferencias entre ambas, por ejemplo, las ventajas que ofrece una cadena de bloques privada son: verificación de las transacciones y comunicación con la red más rápidas, capacidad de corregir errores y revertir transacciones, así como restringir el acceso y reducir la probabilidad de ataques externos. Es posible que los operadores de una cadena de bloques privada opten por implementar cambios de forma unilateral con los que no estén de acuerdo otros usuarios. Para garantizar la seguridad y la funcionalidad de un sistema de cadenas de bloques privado, los operarios deben considerar los recursos con los que cuentan los usuarios que no están de acuerdo con los cambios en las reglas del sistema o que tardan más en adoptar las reglas nuevas. Mientras, los desarrolladores que administran los sistemas de cadenas de bloques públicos, como el bitcoin, siguen apoyándose en los usuarios a la hora adoptar los cambios que proponen, lo que garantiza que estos cambios solo se adopten por el interés de la totalidad del sistema.

De la misma forma que una empresa decide qué sistemas van a estar mejor hospedados en una intranet privada más segura o en Internet, y seguramente utilice ambas, en este caso, los sistemas que necesiten transacciones rápidas, la posibilidad de revertir la transacción y un control central para la verificación de las transacciones encajarán mejor en cadenas de bloques privadas; mientras que aquellos con una amplia participación, transparencia y verificación por parte de terceros encontrarán su caldo de cultivo en una cadena de bloques pública.

Retos de Blockchain en el IC

• Problemas de escalabilidad: referentes al tamaño de los registros contables de Blockchain que podría desembocar en la centralización según vaya este tamaño vaya aumentando con el paso del tiempo y requerir algún tipo de administración de registros, lo que proyecta una sombra sobre el futuro de la tecnología Blockchain.

• Potencia y tiempo de procesamiento necesarios para realizar algoritmos de codificación para todos los objetos involucrados en el ecosistema de IC, el cual se basa en tecnología Blockchain, dado que los ecosistemas de IC son muy diversos y se componen de dispositivos con capacidades informáticas muy diferentes y no todos ellos serán capaces de ejecutar los mismos algoritmos de codificación a la velocidad deseada.

• El almacenamiento será un obstáculo: Blockchain elimina la necesidad de un servidor central para almacenar las transacciones y los identificadores de los dispositivos, pero los registros contables deben almacenarse en los propios nodos y dichos registros aumentarán de tamaño con el paso del tiempo. Esto supera las capacidades de gran variedad de dispositivos inteligentes como, por ejemplo, los sensores, que tienen una capacidad de almacenamiento muy baja.

Riesgos de utilizar de Blockchain en el IC

No hace falta mencionar que las tecnologías nuevas traen consigo riesgos desconocidos. El departamento de gestión del riesgo de las organizaciones debe analizar, evaluar y diseñar planes para mitigar los riesgos previstos en la implementación de marcos de trabajo basados en bloques de cadenas.

Riesgos para los proveedores

En términos prácticos, la mayoría de las organizaciones que quieren implementar aplicaciones basadas en cadenas de bloques, no disponen de los conocimientos y experiencia técnicos para diseñar e implementar este tipo de sistemas, así como tampoco para implantar contratos inteligentes totalmente de forma interna, es decir, sin tener que dirigirse a proveedores de aplicaciones de bloques de cadenas. La fuerza del valor de estas aplicaciones equivaldrá al grado de credibilidad de los proveedores que las suministren. Dado que el mercado de Blockchain como servicio (Blockchain-as-a-Service, BaaS) se encuentra aún en desarrollo, las empresas deberán realizar una selección meticulosa de los proveedores que puedan diseñar las aplicaciones a la perfección para abordar los riesgos asociados a estas cadenas de bloques.

Seguridad de las credenciales

Pese a que las cadenas de bloques son conocidas por su gran seguridad, un sistema basado en este tipo de tecnología será igual de seguro que el punto de acceso del sistema. En los sistemas basados en cadenas de bloques públicas, cualquier persona que tenga acceso a la clave privada de un usuario en particular (con la que puede “firmar” transacciones en el registro contable público), podrá actuar como tal usuario de forma efectiva porque la mayoría de los sistemas no ofrecen autenticación multifactor. Por otra parte, si se perdieran las claves privadas de una cuenta, esto podría traducirse en la pérfida total de los fondos o los datos que controla esa cuenta; se trata de un riesgo que debe evaluarse con detenimiento.

Aspectos legales y cumplimiento normativo

Es un nuevo territorio en todos los aspectos, sin precedentes legales o de cumplimiento normativo a seguir, lo que plantea un serio problema para los fabricantes y los proveedores de servicios de IC. Solo este reto ahuyenta a muchas empresas del uso de la tecnología Blockchain.

Modelo de IC de seguridad óptima

Para que podamos llegar a ese modelo de IC de seguridad óptima, es necesario que esta seguridad sea parte integrante en la base del ecosistema de IC, con rigurosas comprobaciones de validez, autenticación y verificación de datos, y todos los datos tienen que estar cifrados en todos los niveles. Lo que necesitamos es un IC estable y seguro donde la privacidad esté protegida. Es un compromiso difícil pero que será posible gracias a la tecnología Blockchain si logramos superar los inconvenientes.

Ahmed Banafa. Nombrado Voz destacada n.º 1 para seguir en tecnología por LinkedIn en 2016.